Sintesi e consigli essenziali
Una vasta campagna di phishing ha sfruttato Google Classroom, una piattaforma di fiducia nel mondo dell’istruzione, per inviare oltre 115.000 email fraudolente in una sola settimana, colpendo più di 13.500 organizzazioni in diversi settori e continenti. Gli attaccanti hanno camuffato richieste di accesso alle “classi” per aggirare i filtri di sicurezza, inducendo gli utenti a contattare numeri WhatsApp esterni, dove si realizzava la truffa vera e propria.
Consigli chiave:
- Non cliccare su link o rispondere a email sospette, anche se sembrano provenire da Google Classroom.
- Verifica sempre l’autenticità degli inviti prima di agire.
- Segnala e cancella messaggi sospetti.
- Attiva soluzioni di sicurezza multilivello per filtrare minacce avanzate.
Cos’è successo: la nuova frontiera del phishing tramite servizi fidati
Nel periodo tra il 6 e il 12 agosto 2025, i ricercatori di Check Point hanno identificato una campagna senza precedenti: cinque ondate di email malevole spedite tramite Google Classroom hanno colpito aziende di ogni genere – dall’istruzione alla finanza, dal manifatturiero alla sanità – con particolare concentrazione in Europa, Nord America, Medio Oriente e Asia.
Google Classroom, nato per facilitare la comunicazione scuola-studenti tramite inviti a lezioni virtuali, è stato trasformato in uno strumento di frode informatica. Gli hacker hanno sfruttato l’infrastruttura di Google per inviare inviti apparentemente innocui che, invece di contenere materiale didattico, proponevano “offerte commerciali” (dalla rivendita di prodotti ai servizi SEO) e una chiamata all’azione che richiedeva di contattare un numero WhatsApp.
Meccanismo tecnico: come aggirano i controlli
Una delle insidie principali di questa campagna è stata la manipolazione della reputazione e della fiducia di cui gode Google Classroom.
In sintesi:
- Le email di invito a una “classe” inviate da Classroom sono generati direttamente dai server di Google, quindi utilizzano domini verificati e raggiungono facilmente le caselle di posta, superando filtri che si basano su controlli SPF, DKIM o DMARC.
- I sistemi di sicurezza (compresi gateway email aziendali e molte soluzioni EDR) tendono a considerare legittimi i messaggi provenienti da questi servizi.
- Gli inviti fraudolenti contenevano link o indicazioni a contattare immediatamente un numero WhatsApp, portando la conversazione fuori dal perimetro aziendale e aggirando qualunque monitoraggio IT interno.
- Gli attaccanti hanno sfruttato la mancanza di attenzione verso inviti apparentemente banali, focalizzandosi su quantità e diversificazione dei destinatari.
Gli obiettivi nel mirino
La dimensione dell’attacco è stata globale: secondo i ricercatori, almeno 13.500 organizzazioni sono state destinatarie di queste email in meno di sette giorni, con picchi in settori ad alta digitalizzazione e presenza di sistemi cloud.
Alcuni esempi di settori colpiti:
- Scuole, università e enti educativi
- Ospedali e cliniche private
- Agenzie finanziarie di medie e grandi dimensioni
- Industrie ed enti pubblici
Gli attaccanti hanno mostrato particolare attenzione a realtà europee e nordamericane, senza però trascurare paesi in rapida crescita digitale di Asia e Medio Oriente.
L’inganno: dal finto invito agli schemi truffaldini su WhatsApp
Dopo aver inviato l’invito attraverso Google Classroom, il passaggio cruciale era convincere il destinatario a uscire dal perimetro protetto dell’email e proseguire il dialogo su WhatsApp.
Attraverso questa piattaforma, dove la tracciabilità è più difficile e la presenza di sistemi antiphishing è ridotta, gli hacker propongono offerte fasulle, cercano di acquisire informazioni sensibili o di completare truffe economiche.
Questo spostamento repentino su WhatsApp o altre piattaforme non monitorate è diventato prassi nelle strategie di phishing evolute: permette ai malintenzionati di evitare controlli, cancellare tracce automatizzate e condurre la vittima in uno scenario meno protetto.
Perché queste email superano i filtri?
Le tradizionali protezioni delle caselle di posta elettronica si basano su una combinazione di tecniche tra cui la reputazione del mittente, la verifica della firma digitale, l’analisi semantica del contenuto e la segnalazione di domini sospetti.
Il trucco degli attaccanti è inviare tutto tramite un sistema affidabile come Google Classroom:
- I server di Google sono già nella whitelist di moltissime organizzazioni, quindi non vengono bloccati.
- L’oggetto e il mittente sembrano comuni e associati a richieste di collaborazione scolastica.
- Il contenuto delle email, seppur sospetto, non contiene allegati dannosi o link evidenti a malware (perlomeno nella fase iniziale), quindi non attiva le difese automatiche più semplici.
Reazioni delle aziende e la risposta della sicurezza
Le campagne di phishing più evolute obbligano i team di sicurezza a un salto di qualità: soluzioni tradizionali diventano rapidamente insufficienti se l’attacco sfrutta strumenti cloud “benedetti” dalla fiducia e adottati su larga scala.
Secondo Check Point, sistemi avanzati di difesa come Harmony Email & Collaboration con tecnologia SmartPhish hanno permesso di bloccare la maggior parte dei tentativi prima che raggiungessero gli utenti. Tuttavia, la rapidità, lo scale-up e la capacità di adattamento delle campagne resta una sfida.
L’approccio vincente oggi è quello della difesa stratificata:
- integrazione di strumenti AI di riconoscimento pattern anomali;
- sensibilizzazione degli utenti (consapevolezza contro le truffe e phishing simulation);
- monitoraggio continuo delle attività insolite anche su canali non tradizionali (es. WhatsApp aziendale);
- aggiornamento costante delle regole di filtro e delle blacklist, senza affidarsi solo alla reputazione del provider.
La minaccia in evoluzione: i servizi cloud come veicolo crime
Questo caso dimostra quanto sia “fragile” la sicurezza basata solo sulla fiducia dell’infrastruttura di provider globali.
I criminali informatici, avendo compreso come i servizi cloud siano penetrati nell’operatività quotidiana di aziende e scuole, puntano sempre più a contaminarli:
- Potenziale enorme di volumetria (centinaia di migliaia di inviti in pochi giorni);
- Facile accesso a dati sensibili (basta una ingenuità per aprire la porta a furti di credenziali e dati aziendali);
- Difficoltà nel distinguere a colpo d’occhio email reali da tentativi di inganno.
D’ora in poi, ogni servizio cloud che permetta invio massivo di notifiche diventa un possibile veicolo.
Consigli avanzati per la sicurezza contro il phishing su piattaforme fidate
1. Attivare filtri comportamentali e sistemi anti-phishing evoluti
Le nuove soluzioni devono analizzare pattern atipici su inviti, allegati e comportamenti di risposta, superando la logica del semplice blocco su dominio.
2. Integrare soluzioni di sicurezza AI e machine learning su tutte le principali piattaforme cloud
Solo strumenti che apprendono dal contesto possono individuare tentativi di phishing che imitano le abitudini aziendali.
3. Formazione permanente degli utenti
Organizza campagne periodiche di phishing simulation interne e diffondi guide rapide che insegnino come riconoscere falsi inviti anche da servizi affidabili.
4. Utilizzo di autenticazione a più fattori
Soprattutto per accedere alle piattaforme didattiche e cloud, MFA riduce il rischio che un account compromesso venga sfruttato per inoltrare minacce all’intera organizzazione.
5. Monitoraggio e limitazione dei canali privati
Abilita controlli su WhatsApp Business e altri canali che possano essere sfruttati per trarre in inganno i dipendenti.
6. Segnalazione immediata degli incidenti
Implementa procedure rapide per la segnalazione, isolamento e analisi di eventuali email sospette arrivate tramite servizi cloud.
Ricorda:
Il phishing è sempre più sofisticato e sfrutta la fiducia degli strumenti di uso quotidiano. Solo un approccio integrato, fatto di attenzione umana e strumenti tecnologici aggiornati, può davvero proteggere la tua organizzazione.
